PoorTry/BurntCigar
Het cyberdreigingslandschap heeft de evolutie van PoorTry gezien, een Windows-driver in kernelmodus die een meer destructieve wending heeft genomen. PoorTry was oorspronkelijk bedoeld om Endpoint Detection and Response (EDR)-oplossingen uit te schakelen, maar is nu een EDR-wiper geworden. Deze evolutie stelt ransomware-bendes in staat om bestanden te verwijderen die cruciaal zijn voor beveiligingssoftwarebewerkingen, waardoor systemen weerloos worden en herstel veel moeilijker wordt.
Inhoudsopgave
De evolutie van PoorTry: van deactivering naar vernietiging
PoorTry, ook bekend onder de alias "BurntCigar", is sinds de oprichting in 2021 een belangrijk hulpmiddel in het arsenaal van ransomwaregroepen. Aanvankelijk werd het ontwikkeld om EDR en andere veiligheidsmaatregelen uit te schakelen. In de loop van de tijd is het gebruikt door beruchte ransomwarebendes, waaronder BlackCat , Cuba en LockBit . De ontwikkeling ervan bereikte een opmerkelijke mijlpaal toen de makers het attestatie-ondertekeningsproces van Microsoft misbruikten, waardoor de kwaadaardige drivers met grotere doeltreffendheid konden worden ondertekend en gebruikt.
Gedurende 2022 en 2023 bleef PoorTry evolueren, waardoor het zijn vermogen om detectie te ontwijken verbeterde. Door verduisteringstools zoalsVMProtect , Themida en ASMGuard te integreren, werd het beter in het verbergen van zijn kwaadaardige bedoelingen. De meest zorgwekkende ontwikkeling vond echter plaats in juli 2024, toen PoorTry overging van het enkel uitschakelen van EDR-systemen naar het volledig wissen ervan.
Hoe PoorTry werkt
De nieuwste iteratie van PoorTry begint met zijn user-mode component, die nauwkeurig de installatiedirectory's van beveiligingssoftware identificeert en kritieke bestanden lokaliseert. Deze informatie wordt vervolgens doorgegeven aan de kernel-mode component, die de aanval uitvoert door systematisch beveiligingsprocessen te beëindigen en essentiële bestanden te verwijderen.
PoorTry's mogelijkheid om bestanden te targeten op naam of type voegt een laag operationele flexibiliteit toe, waardoor het een breed spectrum aan EDR-producten kan bestrijken. Deze precisie zorgt ervoor dat alleen de meest kritieke bestanden worden verwijderd, waardoor de kans op vroege detectie wordt geminimaliseerd en de impact van de aanval tijdens de encryptiefase wordt gemaximaliseerd.
De implicaties van de evolutie van PoorTry
De verschuiving van EDR-deactivering naar wissen vertegenwoordigt een betekenisvolle escalatie in de tactieken die ransomware-actoren gebruiken. Door de mogelijkheid om EDR-systemen te herstellen of opnieuw te starten te verwijderen, kunnen aanvallers ongehinderd doorgaan met encryptie, waardoor systemen kwetsbaar en weerloos achterblijven.
Ondanks de inspanningen van cybersecuritybedrijven als Trend Micro en Sophos, die PoorTry's evolutie hebben gevolgd en hebben gewaarschuwd voor de toenemende mogelijkheden, hebben de ontwikkelaars achter deze tool zich consequent aangepast aan nieuwe verdedigingsmaatregelen. Deze aanpasbaarheid onderstreept de voortdurende uitdaging waarmee beveiligingsprofessionals worden geconfronteerd om dergelijke geavanceerde bedreigingen voor te blijven.
Hoe PoorTry te verwijderen en uw systeem te beschermen
Gezien de agressieve aard van PoorTry is het essentieel om onmiddellijk actie te ondernemen als u vermoedt dat uw systeem is gecompromitteerd. Hier is een stapsgewijze handleiding voor het verwijderen van PoorTry en het beveiligen van uw systeem:
- Voer een volledige systeemscan uit met een anti-malwareprogramma : begin met het gebruiken van een gerenommeerd anti-malwareprogramma om een uitgebreide scan van uw systeem uit te voeren. Zorg ervoor dat de applicatie up-to-date is met de nieuwste bedreigingsdefinities om PoorTry effectief te detecteren.
- Isoleer het geïnfecteerde systeem : als PoorTry wordt gedetecteerd, isoleer dan het geïnfecteerde systeem van uw netwerk om verdere verspreiding van de malware te voorkomen.
- Verwijder de malware : Volg de instructies van het anti-malwareprogramma om PoorTry van uw systeem te verwijderen. Dit kan betekenen dat u geïnfecteerde bestanden in quarantaine moet plaatsen of moet verwijderen. Zorg ervoor dat alle sporen van de malware zijn verwijderd.
- Herstel uw beveiligingssoftware : Na het verwijderen van PoorTry moet u mogelijk uw EDR en andere beveiligingsoplossingen opnieuw installeren of herstellen om ervoor te zorgen dat uw systeem beschermd is. Controleer nogmaals of alle kritieke componenten van uw beveiligingssoftware intact zijn en functioneren.
- Werk uw systeem bij en verhard het : houd uw besturingssysteem, applicaties en beveiligingssoftware up-to-date. Pas extra beveiligingsmaatregelen toe, zoals netwerksegmentatie en multifactorauthenticatie, om het risico op toekomstige aanvallen te verkleinen.
- Monitor voor verdere bedreigingen : Blijf uw systeem monitoren op tekenen van herinfectie of andere verdachte activiteiten. Blijf waakzaam en wees proactief in het toepassen van beveiligingspatches en updates.
De evolutie van PoorTry naar een EDR-wiper markeert een nieuw niveau van agressie in de tactieken van ransomware-bendes. Door te begrijpen hoe deze malware werkt en snel actie te ondernemen om deze te verwijderen, kunt u uw systeem beschermen tegen verdere schade. Gebruik een betrouwbaar anti-malwareprogramma om PoorTry te detecteren en te elimineren en zorg ervoor dat uw beveiligingsverdedigingen robuust genoeg zijn om toekomstige bedreigingen te weerstaan. Blijf een stap voor in de steeds veranderende strijd tegen cybercriminaliteit.
PoorTry/BurntCigar Video
Tip: Zet je geluid AAN en bekijk de video in de modus Volledig scherm.